Как посмотреть, что рассылает траффик?

Question

[slip31]

Провайдер заблокировал ip за атаки чужих серверов с моего сервера. Как посмотреть, что рассылает с моего сервера атаку?

Answer 1

[sts]

wireshark?

Comments

[slip31]

Поставлю, гляну им, спасибо

[Василий]

slip31: Вы только посмотрите, как им пользоваться. Если вы задаете подобный вопрос, то скорее всего wireshark у вас вызовет множество вопросов. Так что либо курите инструкции на Хабре по программе, либо воспользуйтесь вторым советом с netstat.

[slip31]

Безусловно почитаю, сначала. Спасибо

[Леонид]

можно и встроенным tcpdump воспользоваться вместо wireshark. Собственно те же данные: хост, порт и протокол. а больше и не надо. Нужно только понимать, какой трафик у вашего сервера должен быть в норме, чтобы отсортировать его от вредного.

К тому же резонно спросить у заблокировавшего провайдера - что за атака-то?

[slip31]

С ip сервера идет что-то на ip на 22 порт. Видимо что-то хочет чей-то ssh вскрыть. Надо найти что

Answer 2

[Александр]

yum install iftop

эта утилита на 100% решит Вашу проблему и покажет кто и куда шлет.

Answer 3

[Руслан Федосеев]

rpm -Va
rkhunter
ps xaf и ищем незнакомые процессы....

Answer 4

[Виктор Таран]

https://klondike-studio.ru/blog/kak-opredelit-kako...